AWS Resource Access Manager
AWS リソースを複数のアカウントや組織間で安全に共有するサービス
何ができるか
AWS Resource Access Manager (RAM) は、AWS リソースを複数の AWS アカウント間、または AWS Organizations 内の組織単位 (OU) 間で安全に共有するためのサービスです。VPC サブネット、Transit Gateway、Route 53 Resolver ルール、License Manager の設定など、さまざまな AWS リソースを他のアカウントと共有できます。リソースを複製する必要がなく、一元管理しながら複数アカウントからのアクセスを許可できるため、コスト削減と運用効率の向上を実現します。
どのような場面で使うか
マルチアカウント環境での VPC サブネットの共有、Transit Gateway を使った複数アカウント間のネットワーク接続、共通のライセンス設定の組織全体への適用、Route 53 Resolver ルールの一元管理、AWS Outposts のキャパシティ共有など、組織全体でリソースを効率的に活用する場面で利用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。
身近な例え
オフィスビルの共有会議室に例えるとわかりやすいでしょう。各部署 (アカウント) が個別に会議室を持つとコストがかかりますが、ビル全体で共有会議室を設ければ、必要なときに必要な部署が利用できます。RAM も同様に、1 つのリソースを複数のアカウントで共有することで、重複を排除しコストを最適化します。
RAM とは
AWS Resource Access Manager は、2018 年にリリースされた AWS のリソース共有サービスです。AWS のベストプラクティスであるマルチアカウント戦略を採用する企業が増える中、アカウント間でリソースを効率的に共有するニーズが高まりました。RAM を使えば、リソースの所有者が共有設定を行うだけで、招待されたアカウントからそのリソースにアクセスできるようになります。AWS Organizations と統合すれば、組織全体や特定の OU に対して自動的にリソースを共有することも可能です。
共有可能なリソースタイプ
RAM で共有できるリソースは多岐にわたります。最も一般的なのは VPC サブネットの共有で、中央のネットワークアカウントが管理するサブネットを複数のワークロードアカウントから利用できます。Transit Gateway の共有により、ハブ & スポーク型のネットワーク構成を効率的に構築できます。その他にも、AWS License Manager の設定、Route 53 Resolver ルール、AWS Outposts のキャパシティ、Aurora DB クラスターなど、20 種類以上のリソースタイプが共有に対応しています。
セキュリティとガバナンス
RAM によるリソース共有は、既存の IAM ポリシーやリソースポリシーと連携して動作します。共有されたリソースに対するアクセス権限は、受け取り側のアカウントの IAM ポリシーで制御されるため、きめ細かなアクセス管理が可能です。AWS Organizations との統合により、組織外のアカウントへの共有を制限するガードレールを設定できます。CloudTrail との連携で、誰がいつどのリソースにアクセスしたかの監査ログも自動的に記録されます。
Azure・オンプレミスとの比較
AWS の優位点
- VPC サブネットや Transit Gateway などのネットワークリソースを複数アカウントで共有でき、リソースの重複作成を排除してコストと管理負荷を大幅に削減できる
- AWS Organizations と統合することで、組織単位 (OU) レベルでのリソース共有を自動化でき、新規アカウント追加時にも手動設定なしで共有が適用される
- リソースの所有権と利用権を分離した設計により、中央管理チームがリソースのライフサイクルを一元管理しつつ、各チームが必要なリソースを自律的に利用できる
注意点
- 共有されたリソースの所有権は元のアカウントに残るため、所有者がリソースを削除すると共有先でも利用できなくなる点に注意すること
- Organizations 外のアカウントとリソースを共有する場合は、招待の承認プロセスが必要になるため、運用フローに組み込んでおくこと
さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。